正在启用 AWS Config 用于使用 Firewall Manager

要启用 AWS Config 适用于防火墙管理器

1. AWS Config 为每个 AWS Organizations 成员帐户（包括 Firewall Manager 管理员帐户）启用。有关更多信息，请参阅入门 AWS Config。

2. AWS Config 为 AWS 区域 包含您要保护的资源的每个资源启用该选项。您可以 AWS Config 手动启用，也可以使用AWS CloudFormation StackSets 示例 CloudFormation 模板中的 “启用 AWS Config” 模板。

   如果您不想 AWS Config 为所有资源启用，则必须根据所使用的 Firewall Manager 策略类型启用以下选项：

   • WAF 策略 — 为资源类型启用 Config： CloudFront 分发、Application Load Balancer（ElasticLoadBalancingV2从列表中选择）、API Gateway、WAF WebACL、WAF 区域 WebACL 和 Wafv2 WebACL 和 Wafv2 WebACL。 AWS Config 要启用保护 CloudFront 分配，您必须位于美国东部（弗吉尼亚北部）区域。其他地区没有 CloudFront 选项。

   • Shield 策略 — 为 Shield Protection、Protection、 ShieldRegional Application Load Balancer、EC2 EIP、WAF WebACL、WAF 区域 WebACL 和 Wafv2 WebACL 等资源类型启用配置。

   • 常见安全组策略 — 为资源类型 Amazon EC2 SecurityGroup 和 Amazon EC2 VPC 以及策略资源类型列表中的资源类型（通常是 Amazon EC2 实例和 Amazon EC2NetworkInterface）启用配置。如果您在策略上启用安全组引用分发，请同时启用 Amazon EC2 VPCPeeringConnection。

   • 安全组内容审计策略 — 为 Amazon EC2 SecurityGroup、Amazon EC2 和 Amazon EC2 NetworkInterface 实例的资源类型启用 Config。

   • 安全组使用情况审计策略-为 Amazon EC2 资源类型启用 Config SecurityGroup。

   • 网络 ACL 策略：为 Amazon EC2 子网和 Amazon EC2 网络 ACL 资源类型启用“配置”。

   • N@@ etwork Firewall 策略 — 为资源类型 NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup、EC2 VPC、EC2 InternetGateway RouteTable、EC2 和 EC2 子网启用配置。

   • DNS 防火墙策略 — 为 EC2 VPC 和 Amazon Route 53 的资源类型启用 Config FirewallRuleGroupAssociation。

   • Third-party 防火墙策略 — 为 Amazon EC2 VPC、亚马逊 EC2、亚马逊 EC2、Amazon EC InternetGateway 2 RouteTable 子网和亚马逊 EC2 vpcendPoint 资源类型启用配置。

   注意

   如果您将 AWS Config 记录器配置为使用自定义 IAM 角色，则需要确保 IAM 策略具有记录 Firewall Manager 策略所需的资源类型的适当权限。如果没有适当的权限，则可能无法记录所需的资源，这会使 Firewall Manager 无法正确保护您的资源。Firewall Manager 无法查看这些权限错误配置。有关将 IAM 与配合使用的信息 AWS Config，请参阅适用于 IAM 的信息 AWS Config。